Giới thiệu về mối đe dọa từ tin tặc Bắc Triều Tiên
Mỗi ngày, Binance nhận được hàng loạt hồ sơ xin việc giả, mà Giám đốc An ninh của sàn giao dịch tiền điện tử, Jimmy Su, khẳng định là do các tin tặc Bắc Triều Tiên gửi đến. Theo ông, các tác nhân từ Bắc Triều Tiên hiện đang là mối đe dọa lớn nhất mà các công ty trong ngành tiền điện tử phải đối mặt.
Nhóm Lazarus và các phương thức tấn công
Su cho biết, các tin tặc Bắc Triều Tiên đã trở thành một vấn đề trong suốt tám năm hoạt động của sàn giao dịch, nhưng gần đây, họ đã nâng cao kỹ năng trong lĩnh vực tiền điện tử. “Mối đe dọa lớn nhất hiện nay đối với ngành công nghiệp tiền điện tử là các tác nhân nhà nước, đặc biệt là từ DPRK, với nhóm Lazarus,” Su nói với Decrypt.
“Họ đã tập trung vào tiền điện tử trong hai đến ba năm qua và đã đạt được nhiều thành công trong các nỗ lực của mình.”
Ông nhấn mạnh rằng “hầu hết tất cả các vụ hack lớn của DPRK” đều liên quan đến việc sử dụng một hồ sơ giả để tạo điều kiện cho cuộc tấn công. Cộng hòa Dân chủ Nhân dân Triều Tiên, hay còn gọi là DPRK, là nơi có Nhóm Lazarus, một trong những nhóm hacker nổi tiếng nhất thế giới.
Các phương pháp phát hiện và phòng ngừa
Binance thường xuyên phát hiện các tin tặc Bắc Triều Tiên cố gắng xin việc tại công ty. Sàn giao dịch này tuyên bố loại bỏ hàng ngày các hồ sơ xin việc dựa trên xu hướng sử dụng một số mẫu hồ sơ nhất định. Công ty không muốn chia sẻ thêm thông tin chi tiết về các dấu hiệu cảnh báo trong hồ sơ với Decrypt.
Nếu những hồ sơ này vượt qua bài kiểm tra ban đầu, công ty sẽ phải xác minh tính hợp pháp của ứng viên qua một cuộc gọi video—một thách thức ngày càng khó khăn với sự gia tăng của AI. “Theo dõi của chúng tôi trước đây cho thấy rằng tác nhân, người hoạt động, sẽ có một hồ sơ xin việc, và họ chủ yếu có họ Nhật Bản hoặc Trung Quốc,” Su giải thích.
“Nhưng bây giờ, với AI và các sự kiện trong AI, họ có thể giả mạo để xuất hiện như bất kỳ loại nhà phát triển nào.”
Binance theo dõi khi nào nhân viên làm việc, cùng với sản lượng của họ. Nếu một nhân viên dường như không bao giờ ngủ, đó có thể là dấu hiệu họ là một phần của Nhóm Lazarus nổi tiếng.
Phương thức tấn công và các biện pháp bảo vệ
Có hai phương thức tấn công thường xuyên khác mà các tác nhân nhà nước Bắc Triều Tiên sử dụng, Su cho biết. Một phương thức liên quan đến việc đầu độc các thư viện NPM công cộng bằng mã độc, trong khi phương thức khác là nhà nước nổi loạn đưa ra các lời mời làm việc giả cho các nhân viên tiền điện tử.
Để ngăn điều này trở thành một vấn đề, Binance phải kiểm tra mã một cách kỹ lưỡng. Các sàn giao dịch tiền điện tử lớn cũng chia sẻ thông tin liên quan đến an ninh trong các nhóm Telegram và Signal—có nghĩa là họ có thể đánh dấu các thư viện bị đầu độc và các kỹ thuật DPRK mới nổi với các đồng nghiệp của họ.
“Nhóm DPRK cũng sẽ cố gắng lên lịch các cuộc gọi với các nhân viên đối ngoại,” Su nói với Decrypt.
Kết luận
Binance đã đào tạo nhân viên của mình để báo cáo mọi nỗ lực lừa đảo nhằm vào họ. Theo tần suất của những báo cáo này, Su tự tin rằng các kẻ tấn công DPRK đang nhắn tin cho nhân viên Binance trên LinkedIn mỗi ngày. Các tin tặc Bắc Triều Tiên đã đánh cắp 1,34 tỷ đô la trong 47 sự cố liên quan đến tiền điện tử vào năm ngoái, một báo cáo của Chainalysis tiết lộ.
“Nhóm Lazarus luôn là một vấn đề,” Su nói với Decrypt. “Nhưng trong hai, ba năm qua, họ đã chuyển trọng tâm, nhiều nguồn lực của họ sang tiền điện tử. Chỉ vì số tiền lớn của ngành.”
